RDP może stać się potężną bronią, która pozwoli hakerom przeprowadzić poważny cyberatak.
Od problemów z dostępem do wiadomości e-mail po problemy z zapisywaniem dokumentów, nieoczekiwane problemy techniczne mogą skutecznie zakłócić dzień pracy. We współczesnej epoce cyfrowej takie problemy, wydawałoby się prozaiczne, mogą łatwo wpłynąć negatywnie na wydajność, dlatego konieczne jest, aby dział wsparcia technicznego był w stanie przywrócić sprawność tak szybko, jak to tylko możliwe.
Protokół pulpitu zdalnego (RDP) stał się jednym z najcenniejszych narzędzi umożliwiających osiągnięcie tego celu. Umożliwia on personelowi IT bezpośredni dostęp do maszyny i rozwiązanie problemu, bez konieczności udzielania instrukcji przez telefon lub marnowania czasu na dotarcie do miejsca awarii. W rezultacie specjaliści IT mogą teraz w razie potrzeby zdalnie wspierać wiele firm lub oddziałów z odległości nawet setek kilometrów.
Jednakże, podobnie jak większość narzędzi, protokół RDP można również wykorzystać w niecnych celach. W niewłaściwych rękach RDP staje się potężną bronią, która pozwala hakerom ominąć zastosowane narzędzia obronne i przeprowadzić poważny cyberatak.
Zdalne pulpity są popularnym celem cyberprzestępców, a FBI ostrzega, że taka aktywność „rośnie od połowy 2016 r.”. Ostatnie badania przeprowadzone przez Vectra, które miały na celu oszacowanie zagrożenia, potwierdziły, że dziewięć na dziesięć organizacji doświadczyło jakiejś formy złośliwych ataków związanych z korzystaniem z RDP.
Korzyści i ryzyko związane z RDP
Przyznanie personelowi wsparcia IT dostępu do systemu za pośrednictwem RDP może zapewnić ogromne korzyści, zarówno pod względem kosztów, jak i wydajności. Stosowanie RDP powoduje, że zespoły wsparcia mogą poradzić sobie ze znacznie większą liczbą incydentów przy tych samych nakładach finansowych oraz mniejszym wykorzystaniu zasobów ludzkich.
Badania przeprowadzone przez firmę Machine Design wskazują, że 60 do 70 procent problemów z komputerem można rozwiązać zdalnie poprzez aktualizację systemu lub zmianę ustawień, co oznacza, że w większości przypadków RDP może pozwolić technikowi rozwiązać problem pozwalając mu na kilka minut przejąć kontrolę nad urządzeniem.
Znaczną oszczędność kosztów można również uzyskać, umożliwiając zdalny dostęp przy użyciu HMS Networks (dostawca rozwiązań z zakresu komunikacji przemysłowej i rozwiązań IoT), szacując, że objaśnienia pracowników IT mogą kosztować średnio około 2 200 USD.
Jednakże, RDP może również zostać wykorzystany do przeprowadzenia destruktywnego cyberataku. Uzyskanie dostępu do protokołu RDP umożliwia hakerom pokonanie ewentualnych systemów ochronnych i niemal całkowicie niezauważony atak.
Firma Microsoft niedawno ujawniła cztery krytyczne luki w zabezpieczeniach RDP dotyczące systemu Windows 7, Windows 8 i najnowszej wersji systemu Windows 10, które można wykorzystać i w ten sposób sforsować zabezpieczenia bez konieczności podawania poświadczeń. Nawet bez takich luk często zdarza się, że przedsiębiorstwa nie przestrzegają najlepszych praktyk bezpieczeństwa, pozostawiając dostęp do RDP tylko nominalnie chroniony przy użyciu bardzo słabych haseł.
Biorąc pod uwagę fakt, że większość cyberprzestępców szuka ścieżki najmniejszego oporu w dostępie do sieci, nic dziwnego, że źle zabezpieczone narzędzia RDP są tak popularnym celem ataków. Istnieje wiele różnych sposobów wykorzystywania RDP przez hakerów.
W jaki sposób wykorzystywany jest RDP?
Aby uzyskać lepszy wgląd w sposób wykorzystywania protokołu RDP przez cyberprzestępców, firma Vectra – światowy lider w dziedzinie cyberbezpieczeństwa w chmurze – użyła własnej platformy, aby podzielić rozpoznania RDP na dwie główne kategorie: Recon RDP i Podejrzany Pulpit Zdalny.
RDP Recon wskazuje na wczesne wykrycie ataku. Jest ono aktywowane, gdy zidentyfikowane zostaną powtarzające się nieudane próby nawiązania połączenia RDP z hostem. Zwykle jest to wynikiem ataku cyberprzestępcy próbującego różnych popularnych kombinacji nazw użytkowników i haseł w nadziei na przełamanie bariery słabych domyślnych poświadczeń lub w celu zidentyfikowania aktywnych kont.
Tymczasem rozpoznanie Podejrzanego Pulpitu Zdalnego jest aktywowane po wykryciu nietypowych cech, które pojawiły się po udanym połączeniu RDP. Częstym przykładem może być dostęp do serwera RDP, który jest zwykle ustawiony na język angielski, za pomocą klawiatury francuskiej. Chociaż istnieją całkowicie uzasadnione powody tego rodzaju aktywności, takie incydenty należy traktować jako czerwone światła, które wymagają natychmiastowego zbadania.
Które organizacje stoją w obliczu największego zagrożenia?
Badania Vectry wykazały, że organizacje w zależności od sektorów swej działalności, rzadziej lub częściej napotykały na rozmaite działania związane z RDP. Sektor administracji rządowej i edukacji częściej padał ofiarą ataków rozpoznanych w kategorii RDP Recon, podczas gdy branże sprzedaży detalicznej i ubezpieczeń były bardziej narażone na doświadczenie zachowań Podejrzanego Pulpitu Zdalnego. Co znamienne natomiast, to szczególnie produkcja była jednym z trzech najbardziej narażonych na ataki sektorem i to w obu kategoriach.
Ponadto, małe i średnie firmy doświadczyły wyższego niż większe organizacje odsetka niepokojących działań związanych z RDP. Mniejsze firmy są zazwyczaj wybierane jako bardziej popularne cele ataku, ponieważ rzadziej dysponują zasobami i budżetem pozwalającym zaimplementować system zabezpieczeń, który wykryje nawet subtelne oznaki wykorzystania RDP. Biorąc pod uwagę sektor i wielkość działalności, najwięcej wykrytych ataków zaobserwowano u średnich producentów, średnich detalistów i małych instytucji finansowych.
Jak można zmniejszyć ryzyko wykorzystania RDP przez cyberprzestępców?
RDP stał się istotnym kamieniem węgielnym we wspieraniu nowoczesnej infrastruktury IT dla biznesu i niewiele firm może sobie obecnie pozwolić na funkcjonowanie bez niego. Oznacza to, że organizacje muszą być w stanie zrównoważyć korzyści wynikające z RDP z ryzykiem i ograniczyć zagrożenie związane z wykorzystaniem protokołu do przeprowadzania cyberataków.
Jedną z najbardziej skutecznych metod ograniczenia ryzyka dla profilu RDP jest zapewnienie, że dostęp jest ograniczony tylko do podstawowych użytkowników i jest chroniony za pomocą silnych protokołów uwierzytelniania. Każdy użytkownik powinien mieć swój własny unikalny zestaw danych uwierzytelniających chronionych solidnymi hasłami.
Chociaż metody te utrudnią atakującym przejęcie protokołu RDP, firmy powinny być również przygotowane na najgorszy scenariusz, w którym osoba atakująca z powodzeniem naruszy ich sieć za pomocą sesji zdalnej. Aby przeciwdziałać temu zagrożeniu, należy mieć możliwość automatycznego monitorowania, wykrywania i reagowania na podejrzane zachowania związane z dostępem zdalnym. Zasadnicze znaczenie ma to zarówno pod względem szybkości reakcji, jak i skali, ponieważ każda chwila, w której intruz ma swobodę działania w naszym systemie, może mieć poważne konsekwencje, a wyrafinowani cyberprzestępcy są biegli w maskowaniu swojej obecności w nowoczesnej skomplikowanej sieci informatycznej. W momencie wykrycia podejrzanej aktywności zespoły odpowiedzialne za bezpieczeństwo powinny zostać powiadomione i natychmiast rozpocząć dochodzenie w celu ustalenia, czy zidentyfikowana aktywność ma jakieś uzasadnienie w kontekście działania systemu, czy rzeczywiście jest to atak hakera infiltrującego sieć.
Wyposażenie w zdolność wykrywania nietypowych zachowań w czasie rzeczywistym, pozwoli organizacjom zminimalizować zagrożenie wykorzystania RDP przez cyberprzestępców, bez uszczerbku dla kluczowej roli, jaką RDP odgrywa w utrzymaniu płynnego funkcjonowania biznesu cyfrowego.
Sprawdź, jak szeroki wachlarz funkcji z zakresie bezpieczeństwa połączeń zdalnych oferuje nasz TSPlus Advanced Security.
Pobierz wersję próbną i testuj za darmo.
źródło: www.itproportal.com/